Artigos

CISOs e suas principais preocupações

Por 13 de julho de 2018 Sem comentários

@umbertorosti

CISOs e suas principais preocupações

Todas as notícias diárias de ciberataques e roubo de dados só reforçam que os tempos não estão fáceis para as equipes de segurança da informação, principalmente os CISOs.

E cada vez mais ter uma noite de sono tranquilo é mais difícil.

Observando o dia-a-dia vejo pelo menos três razões claras para noites em claro, e todas elas se concentram em torno de uma causa, o RISCO.

Resumidamente, entedo que as principais razões podem estar relacionada aos seguintes motivos:

1. Prestação de contas aos executivos

Ser 100% responsável por cumprir as expectativas de investimentos para melhoria da segurança é um claro motivo.

Embora a segurança cibernética seja agora uma conversa em nível de diretoria, muitos CEOs ainda não entendem bem, ou seja, alguns relatórios e pesquisas confirmam que mais de 90% dos executivos dizem que não conseguem ler um relatório de segurança cibernética e não estão preparados para lidar com ataque.

Realmente, esse não é o principal trabalho do C-level. O que eles precisam e desejam é que o CISO posicione o risco de forma eficaz e os ajude a entender a equação do estado atual X tecnologia e resultado. Esse é um grande desafio por si só, porque o CISO deve se perguntar constantemente: “Estou investindo na tecnologia certa? Tenho poder de resiliência? Posso escalonar? Meu ambiente é verdadeiramente saudável? Como eu vou realmente saber?”

Ser capaz de comunicar efetivamente o estado atual e o que é “bom” é imperativo para um CISO, além de desenvolver um plano de ação com objetivos e alvos para apresentar ao seu conselho.

2. Capacidade

Tenho as habilidades certas e as pessoas certas para fazer as coisas certas?

A crise de cibersegurança está piorando. Identificar os conjuntos de habilidades certas é a parte fácil. Encontrar pessoas experientes é uma história totalmente diferente.

Para muitas empresas, a escassez de consultores de segurança cibernética é o maior fator de risco. Em resposta, os MSSPs (provedores de serviços de segurança gerenciados) tornaram-se uma escolha popular. Mas encontrar e verificar o MSSP certo é um desafio completamente novo para os CISOs e suas equipes.

O risco se apresenta de várias maneiras aqui:

– Você avaliou todos os terceiros e contratados que apoiam o seu ambiente? Eles realmente apoiam sua operação de forma customizada e dedicada?

– Você é altamente dependente de um ou de um pequeno subconjunto de indivíduos para executar uma parte de sua demanda de tecnologia?

– Você tem processos e procedimentos documentados para seguir no caso de virada?

– Qual é o seu plano de treinamento para garantir que sua equipe acompanhe as tendências de segurança dentro de sua demanda de tecnologia?

– Não há uma resposta fácil para recrutar e reter as pessoas certas em cibersegurança – já disse isso antes e digo novamente – não há desemprego em nossa área. O importante é combinar a equipe que você possui (interna e externamente) com o plano de ação de segurança definido. Que habilidades você precisa? De onde elas estão vindo? Quem está fornecendo a direção? E como meu plano de ação foi avaliado e reavaliado?

3. Compliance & Privacy Regulation

Sim, pode ser que o temido GDPR já seja uma realidade em terras brasileiras.

Aqui no Brasil foi aprovada a Lei Geral de Proteção de Dados (LGPD) – falta apenas a sanção do Presidente. Agora como o que ocorre na UE, os titulares de dados e empresas terão maior segurança jurídica. A Lei exigirá, por parte de todas as empresas, uma série de adequações, sob pena de sanções severas, que podem chegar a multas de até 50 milhões de Reais. Sua empresa precisa se adequar aos controles exigidos!

A conformidade será o maior impulsionador da segurança nos próximos anos. Acredito firmemente que a conformidade impulsiona mais de 50% do mercado hoje.

O Regulamento Geral de Proteção de Dados (GDPR) ou como está sendo chamado no Brasil LGPD, que se aplica a qualquer pessoa, literalmente qualquer empresa no mundo, que recebe dados. O que é assustador sobre o GDPR é o risco financeiro associado à não conformidade.

O GDPR é um dos vários mandatos de conformidade que as organizações globalmente estão enfrentando. Há também DFARS, NYCRR 500, FISMA, GLBA, SOX e outros.

O desafio aqui é que é fácil pensar “isso nunca vai acontecer comigo”. Isso é o que todos nós costumávamos pensar sobre incidentes de segurança cibernética, certo?

Dada a dor financeira da não conformidade, os CISOs não podem arcar com o risco. Como CISO, você precisa se cercar de informações corretas. Se você ainda não fez isso, envolva três tipos de especialistas para apoiar sua prontidão de conformidade:

– Um provedor de serviços de segurança cibernética para fornecer recomendações e táticas de mitigação de riscos;

– Um provedor de serviços de segurança gerenciado para suporte com monitoramento e gerenciamento 24×7 de tecnologias de segurança;

– Assessoria jurídica para revisar o atendimento da sua organização à regulamentos e leis.

*Umberto Rosti é CEO da Safeway

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

  • Archer da RSA Security, considerada pelos institutos GartnerForrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
  • [SAFEWAY]Security Tower, suportada pelo IBM Qradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
  • E outras, envolvendo tecnologias ImpervaThalesBeyondTrust,  WatchGuard Technologies.

Deixe uma resposta